Dnr 2011/1777 2011-12-22 FILFORMAT VERSION 1.2

Relevanta dokument
Riksgäldskontorets författningssamling

Riksgäldskontorets författningssamling

Riksgäldskontorets författningssamling

Beställning av certifikat v 2

Beställning av certifikat v 3.0

Remisspromemoria förslag till föreskrifter om insättningsgaranti

256bit Security AB Offentligt dokument

GiroDirekt Postbeskrivningar för utrikes betalningar - Gäller från december 2009 Innehåll

Filleveranser till VINN och KRITA

Beställning av Förlitandepart-certifikat Version

Krypteringteknologier. Sidorna ( ) i boken

Protokollbeskrivning av OKI

Beställning av certifikat för anslutning till BankID (RP certificate) Version

Utkast/Version (8) Användarhandledning - inrapportering maskin-till-maskin

Ansökan om konto (omyndig person)

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

DNSSec. Garanterar ett säkert internet

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Formatbeskrivning Kreditavisering ankommande utlandsbetalningar

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

V I L L KOR. Sida 1 av 5

Rutinbeskrivning för beställning av certifikat

GiroDirekt Postbeskrivningar för inrikes betalningar Gäller från december 2010 Innehåll

Grundfrågor för kryptosystem

Internetsäkerhet. banktjänster. September 2007

Avancerad SSL-programmering III

Importera adressregister

Microsoft Internet Information Services 7 / 7.5

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

KUNDFAKTURERING: Påminnelser och räntedebitering

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

Policy Underskriftstjänst Svensk e-legitimation

Välj den försäkring du vill ansöka om och fyll i uppgifter om försäkrad/försäkrade.

Kryptering. Krypteringsmetoder

Kom igång med Swish i kassan!

Importera adressregister

Ändringar i utfärdande av HCC Funktion

Ansökan om konto (omyndig person)

Handbok. Pagero Autogiro Mikro

Välj den försäkringar du/ni vill ansöka om och fyll i uppgifter om försäkrad/försäkrade.

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

Välkommen till ett riktigt bra sparande!

Insättningsuppgift via Internet Användarmanual

Skicka och hämta filer med automatik

Uppgifter om dig och den person du vill medförsäkra (make/maka/sambo).

Många företag och myndigheter sköter sina betalningar till Plusoch

FILFORMAT VERSION 3.0

1(5) Anmälan nytt konto Finansiella företag. Välkommen som investerare i våra fonder! Företagsuppgifter

Innehåll. Dokumentet gäller från och med version

DNSSEC och säkerheten på Internet

Modul 3 Föreläsningsinnehåll

Total IN / Total IN Bas Postbeskrivning - Gäller från oktober 2013

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Frågor och svar om nytt system för periodisk rapportering till

Nu kan du ge dina sparpengar en god uppväxt

V I L L K O R. S E P A D I R E C T D E B I T C O R E, f ö r B e t a l a r e ( n e d a n k a l l a t S D D C o r e ) Sida 1 av 5

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Formatbeskrivning Kredit-/Debetavisering Swish

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Statusrapport avvisade betalningar i Handelsbankens semikilon separerade CSVformat

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Kreditkortshantering online med Mamut Pro. WorldPay

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

En övergripande bild av SITHS

Välkommen till ett riktigt bra sparande!

Förändringsskydd med sigill

ANSÖKAN OM INTRÄDE I UNIONENS ARBETSLÖSHETSKASSA

Small Business Server 2011 SSL certifikat administration

Handbok kundwebb för kunder Innehållsförteckning

Nytt betalsätt ISO Europastandard för Nordea

Telia Centrex IP Administratörswebb Handbok

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Manual program DPR SRU tax10

SFTP (Secure Shell FTP using SSH2 protocol) Teknisk manual

(reviderad , , ) Riksarkivet IT-avdelningen. Anvisningar för ifyllning av Excelark för webbleveranser

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Rutin vid kryptering av e post i Outlook

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Anmäla eller ändra lönekonto med Bank-Id hos Danske Bank. Så här gör du för att registrera ditt lönekonto

Elektronisk tullräkning Sid 1(9) Samverkansspecifikation. Version: 1.0 SAMVERKANSSPECIFIKATION. för. e-tullräkning

Manual för Diabas, version 1.2

Handledning. Procapita Vård och Omsorg Certifikatinstallation avseende LEFI Online Version

Telia Centrex IP Administratörswebb. Handbok

Om filen innehåller flera olika avsändarkonton, ska man välja alternativet Hämta avsändarkonto från filen.

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Integration mellan Flex Lön och Flex HRM

Handbok Företagsinteckning

Konfiguration övriga klienter

Handbok. Pagero Autogiro Pro

Användarhandledning för The Secure Channel

SimuWorld Internetportal

Handledning. Att skicka elektronisk fristående Svefaktura 1.0 via eprinter till Landstinget i Östergötland

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Hantering av Exceldata vid import/export till/från utbetalningsansökan

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Svenska Svenska. Autogiro. res tolv månader, betala för tio

Välkommen till ett riktigt bra sparande!

Transkript:

Dnr 2011/1777 2011-12-22 FILFORMAT VERSION 1.2

Innehållsförteckning Innehållsförteckning Bakgrund... 3 Introduktion... 3 Tidpunkter för sändande av informationsfilerna... 3 Informationsfilernas format och tekniska utformning... 4 Informationsfilernas innehåll... 4 Kundfilen... 5 Kontofilen... 7 Kontofördelningsfilen... 8 Transaktionsfilen... 9 Dataformat... 10 Arkivering och komprimering... 10 Exempel... 10 Kryptering och signering... 10 Kryptering och signering (GPGSM)... 11 Kryptering och signering (OpenSSL)... 12 Uppladdning till Riksgälden endast på begäran... 13 Tekniska krav på institutets unika IP-adresser... 13 Krav på kryptografisk teknik... 13 Viktigt att tänka på angående kryptografi och PKI... 14 Referenser... 15 2

Bakgrund Denna handledning är ett komplement till Riksgäldens föreskrifter om instituts skyldighet att lämna uppgifter om insättare och deras insättningar. Tanken är att handledningen ska kunna läsas oberoende av föreskrifterna. Handledningen innehåller, i tillägg till de krav som finns i föreskrifterna, även kompletterande information och vägledning om hur man rent praktiskt kan gå tillväga för att uppfylla kraven i föreskrifterna. Introduktion När insättningsgarantin träder in kommunicerar berört institut med Riksgälden med filuppladdning via HTTPS. Den sammanställda informationen som institutet skickar delas upp i fyra olika filer, en kundfil, en kontofil, en kontofördelningsfil och en transaktionsfil. Transaktionsfilen ska skickas vid två tidpunkter, enligt vad som anges i nästa avsnitt. Tidpunkter för sändande av informationsfilerna Ett institut ska i händelse av ett ersättningsfall sända informationsfilerna vid följande tidpunkter: 1. Kundfilen, kontofilen, kontofördelningsfilen och den första transaktionsfilen ska sändas senast den arbetsdag som inträffar närmast efter dag 1 (dagen för ersättningsrättens inträde, d.v.s. den då Riksgälden begär in informationsfilerna). 2. Den andra transaktionsfilen ska sändas senast den arbetsdag som inträffar närmast efter dag 4 (den arbetsdag som infaller tre arbetsdagar efter Dag 1). Definitionen av arbetsdag är dag som inte är allmän helgdag, lördag, midsommarafton, julafton eller nyårsafton. Om det finns särskilda skäl får Riksgälden medge att informationsfilerna sänds en arbetsdag senare än den dag som anges i 1 respektive 2 ovan. Riksgälden kan även begära in informationsfilerna vid annan tidpunkt än i samband med ett ersättningsfall. Dagen för Riksgäldens begäran räknas då som dag 1, om inte Riksgälden meddelar något annat. Syftet med en sådan begäran är att genomföra en leveranskontroll, d.v.s. att kontrollera att institutet kan sända filerna i ett korrekt format om inom de givna tidsramarna. Tidsramarna är alltså desamma vid leveranskontroller som vid ett ersättningsfall. 3

Informationsfilernas format och tekniska utformning Informationsfilerna som institutet skickar till Riksgälden har ett övergripande filformat som gäller för alla fyra filer. Informationsfilerna ska vara textfiler som skapas i ett flatfilsformat med uppsättningen Filnamnen ska vara kund.txt för kundfilen, konto.txt för kontofilen, kontofordelning.txt för kontofördelningsfilen samt transaktion.txt för transaktionsfilerna. I filerna ska varje rad separeras med radbrytning (CR-LF). Radbrytning får endast användas mellan varje rad. Radbrytning får inte användas efter den sista raden. Varje kolumn ska separeras med ett s.k. pipe- (, byte kod 0x7c). Pipe- får endast användas mellan varje kolumn. Pipe- får inte användas efter den sista kolumnen. Det ska alltid finnas ett pipe- som separerar varje kolumn, även när värdet i en viss kolumn är tomt. Första raden i filerna ska alltid innehålla namnen på respektive kolumn. Informationsfilernas innehåll 1. Kundfilen ska innehålla en förteckning över samtliga insättare i institutet. 2. Kontofilen ska innehålla en förteckning över samtliga konton som institutet tillhandahåller och som omfattas av insättningsgarantin. 3. Kontofördelningsfilen ska innehålla information om ägarförhållandet för samtliga konton som finns med i kontofilen. 4. Transaktionsfilerna ska innehålla information om transaktioner som berör de konton som finns i kontofilen. Informationen i kundfilen, kontofilen, kontofördelningsfilen och transaktionsfil 1 ska avse förhållandena vid slutet av dag 1. Informationen i transaktionsfil 2 ska avse förhållandena vid slutet av dag 4, för transaktioner som har påbörjats senast dag 1. Varje insättare i kund-filen ska kunna ha flera rader länkade till sig i kontofördelningsfilen och kontofördelningsfilen ska kunna koppla dessa rader till flera konton i konto-filen. På så sätt ska dessa tre filer spegla verkligheten där en insättare kan ha flera konton, och där vissa konton kan vara delade med andra insättare. Det betyder också att det möjliggör att ett konto teoretiskt kan ägas av obegränsat antal insättare. Transaktionsfilen innehåller alla transaktioner som berör konto-filen. 4

Kund 1 * Kontofördelning * 1 Konto 1 * Transaktion Figur 1. Bilden visar kardinaliteten mellan de olika filerna. En kundrad kan kopplas till många kontofördelningsrader. Många kontofördelningsrader kan kopplas till en kontorad. En kontorad kan kopplas till många transaktionsrader. Inga rader utan kopplingar får finnas i filerna. Det exakta innehållet i respektive informationsfil framgår av tabellerna nedan. Kundfilen Kundfilen ska innehålla en förteckning över samtliga insättare i institutet. Informationen ska avse förhållandena vid slutet av dag 1. Kolumnnamn Beskrivning Antal Dataformat Kundnummer Ett unikt nummer för insättaren. Maximalt 50 Alfanumeriska inom Namn Samtliga namn (för fysiska personer) eller fullständig firma (för juridiska personer) på insättaren. Namnen ska skiljas med mellanslag. Maximalt 150 Alfanumeriska inom PersonOrgNummer För insättare som är svenska privatpersoner ska fältet innehålla personnummer. För insättare som är svensk juridisk person ska organisationsnummer användas. Maximalt 50 För personnummer ska 12 numeriska användas, enligt ÅÅÅÅMMDDNNNN (t ex 197602051221 ). För organisationsnummer ska 10 numeriska användas, t ex 5599553311. För utländska insättare kan ett så kallat globalt referensnummer användas om sådant finns. För utländska insättare får anges ett globalt referensnummer. Detta ska börja med tecknen REF och kan sedan innehålla maximalt 47 alfanumeriska. Utländska insättare får ha ett tomt värde här om både person- /org.nummer och ett globalt referensnummer saknas. Utdelningsadress Utdelningsadressen till insättaren. Maximalt 250 Alfanumeriska inom Får vara tomt. 5

Postnummer Postnummer till insättaren. Maximalt 250 Alfanumeriska inom Får vara tomt. Ort Postort till insättaren. Maximalt 250 Alfanumeriska inom Får vara tomt. Postland Land till insättaren. Anges bara om annat land än Sverige. Maximalt 250 Alfanumeriska inom Får vara tomt. Landskod ISO-koden för landet som insättaren är registrerad i. 2 Landskod enligt ISO 3166-1. CONamn C/O-namn om sådant finns. Maximalt 250 Alfanumeriska inom Får vara tomt. TIN Tax Identification Number. Skatteregistreringsnummer för skattepliktiga i utlandet. Maximalt 100 Alfanumeriska inom Får vara tomt för skattepliktiga i Sverige. Exempel på kundfil: Kundnummer Namn PersonOrgNummer Utdelningsadress Postnummer Ort Postland Landskod CONamn TIN 12345001 Adam Andersson 218005184335 Adamsvägen 13 218 56 Stockholm Sverige SE 12345002 Bertil Bengtsson 218709290311 Bertilsvägen 43 368 54 Stockholm Sverige SE 12345003 Charlie Chaplin 216904281454 Charlie 46 114 40 New York USA US US234242 6

Kontofilen Kontofilen ska innehålla en förteckning över samtliga konton som institutet tillhandahåller och som omfattas av insättningsgarantin. Informationen i kontofilen ska avse förhållandena vid slutet av dag 1. Kolumnnamn Beskrivning Antal Dataformat Kontonummer Kontots nummer. Kontonumret ska vara unikt. Maximalt 50 Numeriska eller ickenumeriska. Om clearingnummer finns så ska det sitta ihop med kontonumret utan extra. Valuta Valutakod enligt ISO 4217. 3 Treställig valutakod enligt ISO 4217. Kapital Det saldo som finns på kontot. Anges i den valuta som kontot är i. Ska inte innehålla upplupen ränta. Maximalt 26 Decimaltal med komma (,) som decimalavskiljare. Kan innehålla värden från -2^63 till 2^63 med en precision på 1/10000. UpplupenRänta Den upplupna räntan fram till den dag då ersättningsrätt inträder Maximalt 26 Decimaltal med komma (,) som decimalavskiljare. Kan innehålla värden från -2^63 till 2^63 med en precision på 1/10000. Pantsatt Ja om kontot är pantsatt, Nej om konton inte är pantsatt. Maximalt 3 Ja eller Nej. Spärrat Ja om kontot är spärrat för utbetalning till kontohavaren och Nej om konton inte är spärrat. Maximalt 3 Ja eller Nej. Exempel på kontofil: Kontonummer Valuta Kapital UpplupenRänta Pantsatt Spärrat 1001001001 SEK 128034,96 11,92 Nej Nej 1001001002 SEK 350000 948,3 Nej Nej 1001001003 USD 21450 31 Ja Nej 7

Kontofördelningsfilen Kontofördelningsfilen ska innehålla information om ägarförhållandet för samtliga konton som finns med i kontofilen. Samma kundnummer och kontonummer får förekomma flera gånger i kontofördelningsfilen, men kombinationer av kundnummer och kontonummer ska vara unika. Informationen i kontofördelningsfilen ska avse förhållandena vid slutet av dag 1. Kolumnnamn Beskrivning Antal Dataformat Kontonummer Används för koppling mellan konton och insättare. Maximalt 50 Ska matcha kontonummer i kontofilen. Kundnummer Används för koppling mellan insättare och konton. Maximalt 50 Ska matcha kundnummer i kundfilen. KundensAndel Andel i decimalform där 1 är högst och 0,0001 är lägst. Maximalt 6 Anges med fyra decimalers noggrannhet. Exempel på kontofördelning: Kontonummer Kundnummer KundensAndel 1001001001 12345001 1 1001001002 12345002 1 1001001003 12345003 0,5 1001001003 12345001 0,5 8

Transaktionsfilen Transaktionsfilen ska innehålla information om transaktioner som berör de konton som finns i kontofilen. Transaktionsfilen ska tas fram vid två tillfällen. Transaktionsfil 1 ska visa transaktioner som vid slutet av dag 1 är registrerade men inte bokförda på de konton som finns i kontofilen. Transaktionsfil 1skickas tillsammans med övriga tre informationsfiler. Transaktionsfil 2 ska visa de transaktioner som faktiskt bokförts på de konton som finns i kontofilen från och med dag 2 till och med dag 4, och som avser tiden fram till och med dag 1. Transaktionsfil 2 skickas enskilt. Kolumnnamn Beskrivning Antal Dataformat Kontonummer Transaktionsdatum Används för koppling mellan transaktioner och konto. Datum och tidpunkt för transaktionen. Maximalt 50 Maximalt 20 Ska matcha mot konton i kontofilen. Anges i formatet: ÅÅÅÅ-MM-DD TT:MM:SS. Bokföringsdatum Datumet för bokföringen. Maximalt 20 Anges i formatet: ÅÅÅÅ-MM-DD TT:MM:SS. Ska vara tomt i första filen. Får ej vara tomt i andra filen. Referens Belopp Vem som är transaktionens betalningsavsändare eller betalningsmottagare. Belopp för transaktionen. Maximalt 50 Maximalt 26 Alfanumeriska inom Får vara tomt. Ska vara i samma valuta som kontot avser. Decimaltal med komma (,) som decimalavskiljare. Kan innehålla värden från -2^63 till 2^63 med en precision på 1/10000. Exempel på transaktionsfil ( Dag 1 ): Kontonummer Transaktionsdatum Bokföringsdatum Referens Belopp 1001001001 2011-05-18 15:30:53 Testbolaget AB -149 1001001002 2011-05-19 15:30:53 Grejer och sånt AB 10500 Exempel på transaktionsfil ( Dag 4 ): Kontonummer Transaktionsdatum Bokföringsdatum Referens Belopp 1001001001 2011-05-18 15:30:53 2011-05-20 12:30:53 Testbolaget AB -149 1001001002 2011-05-19 15:30:53 2011-05-20 12:30:53 Grejer och sånt AB 10500 1001001002 2011-05-20 15:00:53 2011-05-20 15:00:53 Plötsliga händelser AB -248,5 9

Dataformat Datat har nu ordnats i fyra stycken pipe-separerade textfiler med respektive innehåll: Kund Konto Kontofördelning Transaktion Dessa filer ska arkiveras nu till ett 7z-arkiv [1] samt Arkivering och komprimering De fyra textfilerna ska arkiveras och komprimeras till ett 7z-arkiv [1]. Filformat för 7z-arkiv finns specificerat i källkoden till 7-zip [3]. MIME-typen för 7z-arkiv är application/x-7zcompressed. Exempel Skapa de fyra textfilerna enligt filspecifikation i detta dokument. Skapa ett 7z-arkiv av dessa filer: # 7za a -t7z -m0=lzma -mx=9 -mfb=64 -md=32m -ms=on till_riksgalden.7z fil1.txt fil2.txt fil3.txt fil4.txt Obs! Om Windows-versionen av 7-Zip används heter kommandot 7z istället för 7za. Kryptering och signering Det 7z-arkiv som skapats ska nu krypteras och signeras så att den resulterande filen är en fil i Cryptographic Message Syntax (CMS [2] ) -format. Kryptering och signering kan göras med programvaran gpgsm [4], OpenSSL [5] eller annan programvara som är kompatibel med specifikationen för CMS. Godkända krypterings- och hashalgoritmer och nyckellängder måste väljas ur en av Riksgälden given lista som finns nedan i avsnittet Krav på kryptografisk teknik. De certifikat som ska användas för kryptering och signering levereras av VeriSign/Symantec och beställs från Riksgälden. Vid kryptering ska Riksgäldens publika certifikat användas. Det erhålls första gången från Riksgälden i samband med att ett institut ansöker om sitt certifikat. Därefter ansvarar Riksgälden för att skicka ut det publika certifikatet om det byts ut. 10

För signering ska det certifikat, som institutet erhållit från Riksgäldens certifikatutgivare VeriSign/Symantec, användas. Som framgår ovan beställs detta certifikat från Riksgälden, se Bilaga 1 Beställning av certifikat. Vid beställning ska beställningsformuläret ( Certificate enrollment request ) fyllas i och skickas in. Institutet ansvarar för att vid var tidpunkt ha ett giltigt certifikat. Senast tre månader före utgången av certifikatets giltighetsperiod ska ett nytt certifikat beställas. Krypteringen ska endast ske med av Riksgälden godkända krypteringsalgoritmer och nyckellängder (se avsnittet Krav på kryptografisk teknik ). Signeringen ska endast ske med hjälp av godkänd hashalgoritm och godkänd krypteringsalgoritm och nyckellängd (se avsnittet Krav på kryptografisk teknik ). Samtidigt som ett institut beställer sitt certifikat så ska man även till Riksgälden uppge en eller flera, dock maximalt fem, unika IP-adresser. Endast dessa adresser kan användas som avsändare när institutet sedan ska ladda upp informationsfilerna till Riksgälden, se avsnittet Uppladdning till Riksgälden. Nedan följer exempel på hur kryptering och signering kan göras med gpgsm respektive OpenSSL. Kryptering och signering (GPGSM) Kryptera och signera detta komprimerade arkiv med hjälp av gpgsm: # gpgsm -e --cipher-algo AES256 -r <filnamn_for_riksgaldens_publika_cert.crt> -o till_riksgalden.7z.krypterat till_riksgalden.7z # gpgsm -s --digest-algo SHA512 -u <filnamn_for_institutets_privata_cert.p12> -o till_riksgalden.7z.krypterat.signerat till_riksgalden.7z.krypterat Obs! I GPG4WIN ska nycklarna läggas in i nyckelringen (t ex med hjälp av Kleopatra) och dess thumbprint användas istället för filnamnen. C:\>gpgsm -e --cipher-algo AES256 -r <thumbprint för riksgäldens publika certifikat> -o till_riksgalden.7z.krypterat till_riksgalden.7z C:\>gpgsm -s --digest-algo SHA512 -u <thumbprint_för_institutets_privata_certifikat> -o till_riksgalden.7z.krypterat.signerat till_riksgalden.7z.krypterat För att komma åt ID för certifikaten kan kommandona nedan användas för de publika respektive privata certifikaten: C:\>gpgsm --list-keys 11

C:\>gpgsm --list-secret-keys Obs! Thumbprint för Root CA måste läggas in i trustlist.txt i nyckelringen för att signering och kryptering ska fungera. En rad likt nedan: A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B S relax måste läggas in i trustlist.txt som normalt sett är placerad på <användarens profilmapp>\appdata\roaming\gnupg (Platsen kan variera på olika versioner av Windows). Detta är ett fingeravtryck för den root CA hos VeriSign/Symantec som aktuella certifikat ligger under. Kontroll av revokeringslistor För att kontroll av revokeringslistor ska fungera måste certifikat läggas in i någon av följande mappar. Platsen kan variera för olika versioner av operativsystemet. För mer information se dokumentationen för GPG4WIN. C:\Application data\gnu\etc\dirmngr\trusted-certs\ C:\Documents and settings\all Users\Application data\gnu\etc\dirmngr\trusted-certs\ Certifikat med Thumbprints enligt nedan måste läggas i sin helhet i mappen. Formatet måste vara DER och filändelsen måste vara.der eller.crt. Rootcertifikaten kan begäras från Symantec/Verisign eller hämtas från deras webbplats i en zip med samtliga rootcertifikat. Certifikat med följande thumbprints måste placeras i mappen: A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B 4E:B6:D5:78:49:9B:1C:CF:5F:58:1E:AD:56:BE:3D:9B:67:44:A5:E5 Kryptering och signering (OpenSSL) Ett alternativ är att kryptera och signera det komprimerade 7z-arkivet med hjälp av OpenSSL [5]. Riksgälden har testat detta med version 1.0.0d. För att använda kommandon nedan måste eventuellt nycklarna konverteras till PEM format, om de nycklarna som mottagits är i DER format. Detta görs på följande sätt: När importen av certifikatet i Kleopatra är slutförd, högerklicka på certifikatet och välj "Export secret keys". Följ sedan instruktionerna för att göra om det exporterade p12 certifikatet till ett PEM certifikat. Kryptera och signera sedan det komprimerade arkivet med hjälp av OpenSSL: 12

# openssl pkcs12 -in <filnamn_for_institutets_privata_cert.p12> -out <filnamn_for_institutets_privata_cert.pem> # openssl x509 in <filnamn_for_riksgaldens_publika_cert.crt> inform DER out <filnamn_for_riksgaldens_publika_cert.pem> outform PEM Kryptera och signera det komprimerade arkivet med hjälp av OpenSSL: # openssl cms encrypt binary aes256 -in till_riksgalden.7z -out till_riksgalden.7z.krypterat -outform der <filnamn_for_riksgaldens_publika_cert.pem> # openssl cms -sign binary md SHA512 -in till_riksgalden.7z.krypterat -inform der -out till_riksgalden.7z.krypterat.signerat -outform der - nodetach -signer <filnamn_for_institutets_privata_cert.pem> Som nämnts ovan får även annan programvara användas för kryptering och signering om institutet kan garantera att programvaran som används följer CMS. Restriktioner gällande krypterings- och hashalgoritm och nyckellängd gäller som vanligt. Uppladdning till Riksgälden endast på begäran Den krypterade filen kan nu skickas till Riksgälden genom att starta en webbläsare och ange adressen https://ig.riksgalden.se. Följ sedan de instruktioner som visas på webbsidan. Observera att detta endast ska göras på Riksgäldens begäran. Notera att uppladdning till Riksgälden endast kan göras från en av de unika IPadresser som institutet på förhand har angivit till Riksgälden. Obs! Det är viktigt att uppmärksamma eventuella säkerhetsvarningar då man besöker ig.riksgalden.se. Om webbläsaren varnar för problem med certifikat eller att webbplatsen på annat sätt inte är pålitlig, kontakta Riksgälden. Tekniska krav på institutets unika IP-adresser Den eller de IP-adresser som institutet uppger till Riksgäldskontoret ska vara adresser enligt formatet IPv4. Krav på kryptografisk teknik 1. Kryptering ska ske med krypteringsalgoritmen AES256. 2. Signering ska ske med hashalgoritmen SHA512. 13

3. Meddelandeformatet ska följa CMS (RFC5652). 4. Anonyma metoder för nyckelutbyte får inte användas. 5. Minsta tillåtna längd på kryptografiska nycklar för asymmetriska algoritmer är 2048 bitar. 6. Väl kända och granskade implementeringar av kryptografiska programvaror ska användas. 7. Det kryptografiska systemet ska ha skydd mot angrepp såsom (i) att någon ställer sig som mellanhand mellan server och klient och på så sätt obehörigen tar del av information (s.k. man-in-the-middle), (ii) repetition, och (iii) fördröjnings attacker. Viktigt att tänka på angående kryptografi och PKI Det är mycket viktigt att: hantera privata nycklar på rätt sätt. verifiera att man verkligen kommunicerar med rätt part. förstå vad kryptografi skyddar mot och ej. Om den privata nyckel man använder på något sätt blir tillgänglig för en angripare så innebär detta kort och gott att all kryptografi baserad på denna nyckel är verkningslös. Data kan avlyssnas och modifieras eller förfalskas enligt en angriparens godtycke. Det är därför av yttersta vikt att man skyddar sin privata nyckel på alla sätt man kan; det absolut bästa, om än inte alltid praktiskt möjligt, är att inte ha den privata nyckeln online någonsin. En sökning på Google med söksträngen http://www.google.com/search?q=%22begin+pgp+private+key+block%22+filetyp e%3aasc ger 88 unika resultat per 2011-05-04. Detta är alltså personer som gjort sina privata certifikat tillgängliga för alla genom att ha dem på sina webbsiter. Även om man inte delar ut sin privata nyckel på en webbplats så är det viktigt att komma ihåg att den dator man använder kan vara angripen och att även en privat nyckel som inte finns utdelad kan bli kopierad av en angripare. Därför vill vi påpeka igen att det bästa är att inte överhuvudtaget ha den privata nyckeln tillgänglig på en maskin som är online. 14

Referenser [1] http://www.7-zip.org/7z.html [2] RFC-5652 - Cryptographic Message Syntax [3] http://www.7-zip.org/download.html 7-Zip 9.20 kompilerad 2010-11-18 rekommenderas [4] http://www.gpg4win.org/ (Windows gpg4win 2.1.0 rekommenderas) http://www.gnupg.org/download/index.en.html#gnupg2 (Unix) [5] http://www.openssl.org/docs/apps/cms.html 15

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss